Wireshark – Audit et performance réseau

1. Introduction à l’analyse réseau

• Objectifs d’un audit réseau (performance, sécurité, conformité)
• Présentation de Wireshark et principes de capture
• Outils complémentaires : tcpdump, tshark, ngrep
• Interfaces de capture (Ethernet, Wi-Fi, VLAN, tunnel VPN)

2. Capture et filtrage des trames

• Méthodes de capture : promiscuité, interfaces multiples, filtres BPF
• Syntaxes de filtrage avant/après capture
• Optimisation des captures : durée, taille, segmentation
• Sauvegarde, export et anonymisation de traces

3. Analyse des protocoles réseau

• Analyse détaillée : ARP, ICMP, DNS, DHCP, HTTP/HTTPS, SMTP, SMB
• Inspection des sessions TCP : handshakes, RST, ACK, pertes
• Suivi de flux, reconstitution de sessions, analyse hiérarchique
• TLS 1.3 et HTTP/3 : limites d’analyse, méthodes alternatives

4. Détection d’anomalies et d’intrusions

• Signatures de DoS, scan, attaques par injection
• Paquets anormaux : retransmissions, flood, erreurs checksum
• Détection de protocoles suspects (exfiltration DNS, tunneling HTTPS)
• Cas pratiques : analyse d’un trafic chiffré, malware simulé

5. Optimisation des performances

• Latences, goulots d’étranglement, pertes de paquets
• Analyse de flux applicatifs lents (SQL, HTTP, FTP)
• Détection des erreurs de configuration réseau
• Interprétation des délais : RTT, Jitter, MTU, fragmentation

6. Atelier projet (mise en situation)

• Analyse d’un incident réseau à partir d’un dump Wireshark
• Identification des causes : applicatif, réseau, DNS, sécurité
• Rédaction d’un rapport technique synthétique
• Présentation orale des résultats